חברה עם 40,000 רשומות לקוחות. תוכנה לניהול CRM. יום אחד — מתקפה. הסיסמאות נגנבות. שאלת הרשות להגנת הפרטיות: "האם יישמתם אימות דו-שלבי?" לא היה. הדרך מכאן לקנסות ותביעה ייצוגית — קצרה. לא מספיק שאתם "לא חשובים" — רוב מתקפות הסייבר הן אוטומטיות ולא ממוקדות.
מה החוק הישראלי אומר — ספציפית
חוק הגנת הפרטיות, תשמ"א-1981, ותקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 קובעים חובות אבטחה על כל מי שמחזיק מאגר מידע. החוק לא מציין "אימות דו-שלבי" בשמו — אבל תקנה 6(ב)(1) מחייבת ניהול הרשאות גישה, ותקנות נוספות מחייבות ניהול סיסמאות מאובטח. כשארגון נפרץ — הרשות בוחנת האם ה-best practices של התחום יושמו. 2FA הוא ה-best practice. ארגון שלא יישם אותו יתקשה להראות שעשה "מה שמצופה ממנו".
מי חייב 2FA — ומה הרמה הנדרשת
בנקים וגופים פיננסיים
הוראות הפיקוח על הבנקים ורשות שוק ההון מחייבות אימות חזק לגישה לחשבונות ולביצוע פעולות. 2FA הוא תקן נדרש, לא אופציה. אי-יישום — כשל ביקורת ואחריות ישירה.
מערכות בריאות
גישה לרשומות רפואיות ללא אימות מחמיר נחשבת לכשל מהותי. הוראות משרד הבריאות מחייבות אמצעי הגנה — ו-2FA הוא בסיס המינימום לגישה מרחוק לרשומות.
כל ארגון שמחזיק מאגר ברמת סיכון גבוהה
תקנות אבטחת המידע מסווגות מאגרים לשלוש רמות סיכון: גבוהה, בינונית, נמוכה. מאגר ברמה גבוהה — מידע רפואי, פיננסי, ביומטרי, או מידע על 100,000 נרשמים ומעלה — מחייב אמצעי אבטחה מחמירים. 2FA נחשב נדרש לגישה למאגרים אלה.
ארגונים כפופים ל-GDPR
חברות ישראליות שמטפלות בנתוני אזרחים אירופאים כפופות ל-GDPR, שמחייב "appropriate technical and organisational measures". 2FA הוא best practice מוכר שמאפשר להוכיח עמידה בדרישה.
מה קורה כשארגון נפרץ בלי 2FA
ראשית, קנסות מרשות הגנת הפרטיות: עד 3.2 מיליון ש"ח לפרצה אחת (נכון ל-2025). שנית, תביעות ייצוגיות: נפגעי פרצת מידע יכולים לתבוע כקבוצה — בישראל כבר נפסקו פיצויים של עשרות מיליוני שקלים. שלישית, אחריות אישית של מנהלים: בנסיבות של רשלנות מוכחת — מנהלים עלולים לשאת באחריות אישית. ולבסוף — נזק מוניטין שקשה לכמת.
איך מיישמים — ארבעה צעדים
1. מפו את מאגרי המידע שלכם. כל מאגר — שם, נפח, סוג מידע, מי ניגש אליו. 2. סווגו לפי רמת סיכון. מידע רגיש על לקוחות, עובדים, רשומות פיננסיות — גבוהה. מידע ניהולי פנימי — בינונית. 3. יישמו 2FA בכל מאגר ברמה גבוהה. גישה מרחוק, ממשקי ניהול, API עם הרשאות מורחבות — כולם דורשים 2FA. 4. תעדו. רשמו מה יישמתם, מתי, ואיזו החלטה הובילה לכך. תיעוד הוא ההגנה שלכם בביקורת ובבית משפט.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: כשלקוח עסקי נפרץ — השאלה הראשונה שרשות הגנת הפרטיות תשאל היא "מה אמצעי האימות שיישמתם?" ואם אין 2FA, המשימה הראשונה שלכם היא לבנות נרטיב שמסביר למה — לא להכחיש. הכינו את הלקוחות לפני שזה קורה.
- פסיקה רלבנטית: ⚠️ קיימות תביעות ייצוגיות שנפתחו בישראל בעקבות פרצות מידע ודנו בקשר בין אמצעי אבטחה לאחריות — מספרי תיקים ספציפיים לא צוינו כאן; יש לבדוק עם פסיקה עדכנית בתחום הגנת הפרטיות.
- טעות נפוצה: לקוחות מניחים "אנחנו קטנים, אף אחד לא ירצה לפרוץ אלינו." בפועל — רוב מתקפות הסייבר הן אוטומטיות לחלוטין. בוטים סורקים אינטרנט לפי חולשות, לא לפי גודל חברה.
- נקודה טקטית: בניסוח הסכמי SaaS — הוסיפו סעיף מפורש על חובת הלקוח לאפשר ולהפעיל 2FA. זה יוצר חיץ הגנה לספק: אם הלקוח לא הפעיל 2FA שעמד לרשותו — הנזק מוטל עליו.